Fortinet, Ivanti ve VMware cihazlarındaki güvenlik kusurlarının sıfır gün istismarıyla bağlantılı olan Çin bağlantılı siber casusluk aktörünün, tehlikeye atılmış ortamlara sınırsız erişimi sürdürmek için birden fazla kalıcılık mekanizması kullandığı gözlemlendi.
Mandiant araştırmacıları “Kalıcılık mekanizmaları ağ cihazlarını, hipervizörleri ve sanal makineleri kapsıyor ve birincil katman tespit edilip ortadan kaldırılsa bile alternatif kanalların kullanılabilir kalmasını sağlıyor.” söz konusu yeni bir raporda.
Söz konusu tehdit aktörü UNC3886Google’ın sahibi olduğu tehdit istihbaratı şirketi bunu “sofistike, temkinli ve kaçamak” olarak nitelendirdi.
Düşman tarafından düzenlenen saldırılar, aşağıdaki gibi sıfır gün kusurlarından yararlandı: CVE-2022-41328 (Fortinet FortiOS), CVE-2022-22948 (VMware vCenter) ve CVE-2023-20867 (VMware Tools) arka kapı dağıtmaktan daha derin erişim için kimlik bilgileri elde etmeye kadar çeşitli kötü amaçlı eylemler gerçekleştirmek için kullanılır.
Ayrıca ağ güvenlik şirketi tarafından kamuya açıklanmasından kısa bir süre sonra Fortinet FortiGate’i etkileyen bir başka eksiklik olan CVE-2022-42475’in istismar edildiği de gözlemlendi.
Bu izinsiz girişler öncelikle Kuzey Amerika, Güneydoğu Asya ve Okyanusya’daki varlıkları hedef alırken, Avrupa, Afrika ve Asya’nın diğer bölgelerinde de ek kurbanlar tespit edildi. Hedeflenen endüstriler hükümetleri, telekomünikasyon, teknoloji, havacılık ve savunma ile enerji ve kamu hizmetleri sektörlerini kapsamaktadır.
UNC3886’nın cephaneliğindeki dikkate değer bir taktik, güvenlik yazılımından kaçan ve hükümete ve iş ağlarına girmesine ve kurbanlar hakkında tespit edilmeden uzun süre casusluk yapmasına olanak tanıyan teknikler geliştirmesidir.
Bu, Reptile ve gibi kamuya açık rootkitlerin kullanımını gerektirir. Medusa Konuk sanal makinelerde (VM’ler), ikincisi SEAELF adlı bir yükleyici bileşeni kullanılarak dağıtılır.
Mandiant, “Yalnızca rootkit işlevleriyle etkileşimli erişim sağlayan REPTILE’ın aksine, MEDUSA, başarılı kimlik doğrulamalarından kullanıcı kimlik bilgilerinin yerel veya uzaktan günlüğe kaydedilmesi ve komut yürütme yetenekleri sergiliyor” dedi. “Bu yetenekler, UNC3886’nın geçerli kimlik bilgilerini kullanarak yanal hareket etme yöntemi olarak avantajlıdır.”
Ayrıca sistemlerde, komut ve kontrol (C2) kanalları olarak GitHub ve Google Drive gibi güvenilir hizmetlerden yararlanan MOPSLED ve RIFLESPINE adlı iki arka kapı da sunuluyor.
Crosswalk kötü amaçlı yazılımının olası bir evrimi olan MOPSLED, GitHub C2 sunucusundan eklentileri almak için HTTP üzerinden iletişim kuran kabuk kodu tabanlı modüler bir implanttır; RIFLESPINE ise dosyaları aktarmak ve komutları yürütmek için Google Drive’ı kullanan çapraz platformlu bir araçtır. .
Mandiant ayrıca UNC3886’nın 2023-20867 istismarından sonra kimlik bilgilerini toplamak için arka kapılı SSH istemcilerini dağıttığını ve aynı amaç için özel SSH sunucuları kurmak için Medusa’dan yararlandığını da tespit ettiğini söyledi.
“Tehdit aktörünün ağ cihazlarına erişimlerini genişletmeye yönelik ilk girişimi, TACACS sunucusu LOOKOVER’ın kullanımıydı” diye belirtti. “LOOKOVER, C dilinde yazılmış, TACACS+ kimlik doğrulama paketlerini işleyen, şifre çözme işlemini gerçekleştiren ve içeriğini belirtilen dosya yoluna yazan bir algılayıcıdır.”
VMware örneklerini hedef alan saldırılar sırasında ortaya çıkan diğer kötü amaçlı yazılım ailelerinden bazıları aşağıdadır:
- Kimlik bilgileri günlüğe kaydetme işlevine sahip meşru bir TACACS arka plan programının truva atı haline getirilmiş sürümü
- VIRTUALSHINE, bash kabuğuna erişim sağlayan VMware VMCI soket tabanlı bir arka kapıdır
- VIRTUALPIE, dosya aktarımını, isteğe bağlı komut yürütmeyi ve ters kabuk yeteneklerini destekleyen bir Python arka kapısı
- VIRTUALSPHERE, VMCI tabanlı bir arka kapıyla ilişkili bir denetleyici modülü
Yıllar geçtikçe sanal makineler, bulut ortamlarındaki yaygın kullanımları nedeniyle tehdit aktörleri için kazançlı hedefler haline geldi.
Palo Alto Networks Birim 42, “Güvenliği aşılmış bir VM, saldırganlara yalnızca VM örneğindeki verilere değil, aynı zamanda kendisine atanan izinlere de erişim sağlayabilir.” söz konusu. “VM’ler gibi bilgi işlem iş yükleri genellikle geçici ve değişmez olduğundan, güvenliği ihlal edilmiş bir kimliğin oluşturduğu risk, bir VM içindeki güvenliği ihlal edilmiş verilerden muhtemelen daha fazladır.”
Kuruluşların güvenlik tavsiyelerine uymaları tavsiye edilir. Fortinet Ve VMware Potansiyel tehditlere karşı korunmaya yönelik tavsiyeler.